Was ist ein ACL-Netzwerk?
Ein ACL-Netzwerk ist wirklich genau wie jedes andere Computernetzwerk, mit der Ausnahme, dass die Router und Switches, die im Netzwerk ausgeführt werden, eine vorgegebene Liste von Zugriffsberechtigungen einhalten. Die Netzwerkrouter erhalten eine Liste von Regeln, die als Zugriffssteuerungsliste (Access Control List, ACL) bezeichnet wird und die den grundlegenden Zugriff auf oder von einem Netzwerksegment sowie die Erlaubnis zum Zugriff auf Dienste ermöglichen, die über sie verfügbar sind. Während eine ACL in anderen Computerdiensten verwendet werden kann, z. B. für Benutzer, die auf auf einem Computer gespeicherte Dateien zugreifen dürfen, werden die Regeln in einem ACL-Netzwerk auf die Netzwerkschnittstellen und Ports angewendet, über die Kommunikationsdaten übertragen werden.
Wenn Datenpakete über gesteuerte Ports auf einem Netzwerkgerät eines ACL-Netzwerks übertragen werden, werden sie gefiltert und auf Berechtigungen hin ausgewertet. In den meisten Fällen tritt dies auf einem Netzwerkrouter oder -switch auf. Einige Firewall-Programme, die in ein Betriebssystem integriert sind, können jedoch auch als eine Form der Zugriffskontrollliste angesehen werden. Wenn ein Datenpaket in eine Schnittstelle des Netzwerkgeräts eintritt oder diese verlässt, wird es auf seine Berechtigungen überprüft, indem es mit der ACL abgeglichen wird. Wenn diese Berechtigungen nicht erfüllt sind, wird dem Paket die Weiterreise verweigert.
Eine ACL besteht aus Zugriffskontrolleinträgen (ACE). Jeder ACE in der Auflistung enthält die relevanten Informationen zu Berechtigungen für Pakete, die in die ACL-Netzwerkschnittstelle eintreten oder diese verlassen. Jede ACE enthält entweder eine Erlaubnis- oder eine Verweigerungsanweisung sowie zusätzliche Kriterien, die ein Paket erfüllen muss. In den meisten Fällen werden Pakete basierend auf gängigen IP-Standards (Internet Protocol) wie TCP (Transmission Control Protocl), UDP (User Datagram Protocol) und anderen Standards in der Suite ausgewertet. Von den grundlegendsten ACL-Typen wird nur die Ursprungsadresse geprüft, während in einer erweiterten ACL Regeln festgelegt werden können, die die Ursprungs- und Zieladressen sowie die spezifischen Ports prüfen, von denen der Verkehr stammt und für die er bestimmt ist.
In einem ACL-Netzwerk werden die Steuerlisten in Netzwerkroutern und -switches erstellt. Jeder Netzwerkhardwareanbieter verfügt möglicherweise über separate Regeln für den Aufbau einer ACL. Unabhängig davon, welcher Hardwarehersteller oder Softwareentwickler die Programmierung erstellt hat, die Pakete gegen eine ACL verarbeitet, ist der wichtigste Aspekt bei der Implementierung eines ACL-Netzwerks die Planung. In Fällen schlechter Planung kann sich ein Administrator durchaus bei einem bestimmten Router anmelden, eine ACL für diesen Router implementieren und plötzlich feststellen, dass er von diesem Router oder einem Segment eines gesamten Netzwerks ausgeschlossen ist.
Eine der am häufigsten verwendeten ACL-Netzwerkimplementierungen ist das von Cisco Systems® entwickelte firmeneigene Internetwork Operating System (IOS). Auf Cisco® IOS-Routern und -Switches wird die ACL von einem Administrator manuell eingegeben und automatisch implementiert, sobald ein Element in der Liste hinzugefügt wird. Die ACL muss inkrementell implementiert werden, damit, wenn ein einzelnes Paket mit einem Eintrag übereinstimmt, der Rest, der unter die gleichen Berechtigungen fällt, folgen kann. Alle Änderungen an der Liste bedeuten, dass sie vollständig neu eingegeben werden muss.
Eine ACL ist zwar nicht so sicher wie eine Firewall zum Schutz eines Netzwerks, für eine Reihe von Szenarien ist sie jedoch zusätzlich zu einer Firewall nützlich. Ein Administrator kann den Datenverkehr zu und von bestimmten Bereichen eines größeren Netzwerks beschränken oder verhindern, dass Datenverkehr, der von bestimmten Adressen stammt, das Netzwerk insgesamt verlässt. Pakete können in einem ACL-Netzwerk überwacht werden, um Problembereiche im Netzwerk zu lokalisieren, Hosts zu identifizieren, die sich nicht ordnungsgemäß verhalten, oder Clientcomputer aufzuspüren, die möglicherweise mit einem Virus infiziert sind, der sich zu verbreiten versucht. Eine ACL kann auch verwendet werden, um Datenverkehr anzugeben, der zwischen Knoten im Netzwerk verschlüsselt werden muss.